Onderzoekers laten zien hoe de besturing van Windows 7 wordt overgenomen

Beveiliging onderzoekers hebben op donderdag donderdag tijdens de Hack In The Box-beveiligingsconferentie (HITB) in Dubai gedemonstreerd hoe ze de controle over een computer met Microsoft Windows 7 kunnen overnemen.

Onderzoekers Vipin Kumar en Nitin Kumar gebruikten de door hen ontwikkelde proof-of-conceptcode, genaamd VBootkit 2.0, om tijdens het opstarten controle te krijgen over een Windows 7-virtuele machine. Ze demonstreerden hoe de software werkt op de conferentie.

"Er is geen oplossing voor, het kan niet worden opgelost." Het is een ontwerpprobleem, "zei Vipin Kumar, terwijl hij uitlegde dat de software de veronderstelling van Windows 7 exploiteert dat het opstartproces veilig is aanval.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Terwijl VBootkit 2.0 laat zien hoe een aanvaller de controle over een Windows 7-computer kan overnemen, hoeft dit niet per se een serieuze bedreiging te zijn. Om te zorgen dat de aanval werkt, moet een aanvaller fysieke toegang hebben tot de computer van het slachtoffer. De aanval kan niet op afstand worden uitgevoerd.

VBootkit 2.0, die slechts 3 KB groot is, stelt een aanvaller in staat om de besturing van de computer over te nemen door tijdens het opstartproces wijzigingen aan te brengen in Windows 7-bestanden die in het systeemgeheugen zijn geladen. Omdat er geen bestanden op de harde schijf worden gewijzigd, is VBootkit 2.0 erg moeilijk te detecteren, zei hij.

Echter, wanneer de computer van het slachtoffer opnieuw wordt opgestart, verliest VBootkit 2.0 zijn grip op de computer omdat de gegevens in het systeemgeheugen worden opgeslagen lost.

VBootkit 2.0 is een vervolg op eerder werk dat Kumar en Kumar hebben gedaan met betrekking tot kwetsbaarheden in het opstartproces van Windows. In 2007 demonstreerden Kumar en Kumar een eerdere versie van VBootkit voor Windows Vista tijdens de Black Hat Europe-conferentie.

De nieuwste versie van VBootkit omvat de mogelijkheid om de computer van het slachtoffer op afstand te bedienen. Bovendien stelt de software een aanvaller in staat om zijn gebruikersprivileges te verhogen tot op systeemniveau, het hoogst mogelijke niveau. De software kan ook het wachtwoord van een gebruiker verwijderen en een aanvaller toegang geven tot al zijn bestanden. Daarna herstelt VBootkit 2.0 het oorspronkelijke wachtwoord en zorgt ervoor dat de aanval onopgemerkt blijft.